Un informe del Tribunal de Cuentas Europeo examinó el nivel de preparación de las entidades públicas de la UE ante las ciberamenazas. El objetivo de la auditoría fue determinar si las instituciones, órganos y organismos de la UE (IOUE) han establecido mecanismos adecuados para protegerse contra las amenazas.

Debido a la información que tratan, las IOUE son un blanco atractivo para los posibles atacantes, en particular para grupos con fines de ciberespionaje. Pese a su independencia institucional y su autonomía administrativa, las instituciones están estrechamente interconectadas por lo que los puntos débiles de una pueden exponer a las demás a amenazas de seguridad.

Entre 2018 y 2021, los incidentes de seguridad significativos se multiplicaron por diez en los órganos de la UE.

En general, la causa de los incidentes son complejos ciberataques que implican normalmente el uso de nuevos métodos y tecnologías, y que pueden requerir semanas o incluso meses de investigación y de recuperación. Entre 2018 y 2021, los incidentes de seguridad significativos se multiplicaron por diez en los órganos de la UE. Además, el trabajo a distancia ha aumentado considerablemente el número de posibles puntos de acceso.

La auditoría constató que no siempre se aplican buenas prácticas esenciales de ciberseguridad, como controles esenciales, y que los gastos en ciberseguridad en varias IOUE son insuficientes. Además, en algunos organismos tampoco existe una buena gobernanza de la ciberseguridad: no existen estrategias de seguridad informática o éstas no están respaldadas por la alta dirección, las políticas de seguridad no siempre se formalizan y las evaluaciones de riesgos no abarcan todo el entorno informático.

Fallas en las respuestas a los ataques

Otro de los puntos abordados en la auditoría arrojaron que el equipo de respuesta a emergencia informática de las instituciones, órganos y organismos de la Unión Europea y la Agencia de la Unión Europea para la Ciberseguridad no han podido proporcionar a las IOUE todo el apoyo que necesitan, sobre todo en relación con el desarrollo de capacidades de aquellas que poseen menor experiencia. La eficacia de ambos organismos está comprometida por la inestabilidad de la financiación y la dotación de personal, así como la insuficiente cooperación de alguna IOUE.

Basándose en sus conclusiones, la auditoría recomendó que la Comisión mejore la preparación de las IOUE mediante una propuesta legislativa que introduzca normas comunes vinculantes sobre ciberseguridad para todas las IOUE y un incremento de los recursos para los equipos de emergencias.

Además sugirió que la Comisión, en el contexto del Comité interinstitucional para la transformación digital, promueva nuevas sinergias entre las IOUE y que tanto el equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la Unión Europea, como la Agencia de la Unión Europea para la Ciberseguridad  se centren en las IOUE con menor madurez en ciberseguridad.